abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 02:44 | Nová verze

    Emulátory Box86 a Box64 umožňující spouštět linuxové aplikace pro x86 a x86_64 na jiných než x86 a x86_64 architekturách, například ARM a ARM64, byly vydány v nových verzích: Box86 0.3.8 a Box64 0.3.2. Ukázka možností na YouTube.

    Ladislav Hagara | Komentářů: 0
    včera 20:55 | Nová verze

    Byla vydána nová verze 6.1 neměnné (immutable) distribuce openSUSE Leap Micro určené pro běh kontejneru a virtuálních strojů. S vydáním verze 6.1 byla ukončena podpora verze 5.5.

    Ladislav Hagara | Komentářů: 0
    včera 19:55 | IT novinky

    Poslanci dnes ve třetím čtení schválili návrh zákona o digitálních financích. Cílem zákona je implementace předpisů Evropské unie v oblasti digitálních financí, konkrétně nařízení DORA (Digital Operational Resilience Act) o digitální provozní odolnosti finančního sektoru a nařízení MiCA (Markets in Crypto Assets) o trzích kryptoaktiv. Zákon nyní míří k projednání do Senátu ČR. U kryptoměn bude příjem do 100 tisíc Kč za zdaňovací období osvobozen od daně, podobně jako u cenných papírů, a to za podmínky jejich držení po dobu alespoň 3 let.

    Ladislav Hagara | Komentářů: 3
    včera 19:11 | Komunita

    O víkendu (15:00 až 23:00) proběhne EmacsConf 2024, tj. online konference vývojářů a uživatelů editoru GNU Emacs. Sledovat ji bude možné na stránkách konference. Záznamy budou k dispozici přímo z programu.

    Ladislav Hagara | Komentářů: 0
    včera 10:22 | Nová verze

    Mozilla má nové logo a vizuální identitu. Profesionální. Vytvořeno u Jones Knowles Ritchie (JKR). Na dalších 25 let.

    Ladislav Hagara | Komentářů: 22
    5.12. 23:33 | Komunita

    Bylo rozhodnuto, že nejnovější Linux 6.12 je jádrem s prodlouženou upstream podporou (LTS). Ta je aktuálně plánována do prosince 2026. LTS jader je aktuálně šest: 5.4, 5.10, 5.15, 6.1, 6.6 a 6.12.

    Ladislav Hagara | Komentářů: 0
    5.12. 15:11 | Nová verze

    Byla vydána nová stabilní verze 3.21.0, tj. první z nové řady 3.21, minimalistické linuxové distribuce zaměřené na bezpečnost Alpine Linux (Wikipedie) postavené na standardní knihovně jazyka C musl libc a BusyBoxu. Z novinek lze vypíchnou počáteční podporu architektury Loongson LoongArch64.

    Ladislav Hagara | Komentářů: 0
    5.12. 11:33 | IT novinky

    Mapy.cz Premium stojí 249 korun ročně. Premium verze je zaváděna postupně.

    Ladislav Hagara | Komentářů: 30
    5.12. 11:00 | IT novinky

    Hodnota Bitcoinu, decentralizované kryptoměny překonala 100 000 dolarů (2 390 000 korun).

    JZD | Komentářů: 16
    5.12. 05:11 | Zajímavý software

    Hurl byl vydán ve verzi 6.0.0. Hurl je nástroj běžící v příkazovém řádku, který spouští HTTP požadavky definované v textovém souboru.

    Ladislav Hagara | Komentářů: 0
    Rozcestník

    Dotaz: Samba LDAP

    1.9.2007 16:06 smajl
    Samba LDAP
    Přečteno: 2890×
    Chci nastavit sambu tak, aby brala uživatele z ldap serveru. V linuxu mi funguje přihlášení přes ldap server, ale chci aby se dala data přečíst i pod windowsem. K samba serveru se připojím, ale ať zadám cokoliv, pokaždý to na mě vyhrkne, že nemám správný uživatelský jméno. V logách nic zajímavýho není. Nastavení samby:
    [global]
    workgroup = FIRM
    netbios name = TEST
    server string = pokusny
    passdb backend = ldapsam:ldap://127.0.0.1/
    ldap suffix = dc=domena,dc=cz
    ldap group suffix = ou=group
    ldap user suffix = ou=people
    ldap machine suffix = ou=hosts
    ldap admin dn = cn=admin,dc=domena,dc=cz
    
    obey pam restrictions = no
    
    ldap passwd sync = no
    ldap delete dn = no
    
    username map =/etc/samba/smbpasswd
    
    add user script = /usr/sbin/smbldap-useradd -m "%u"
    add machine script = /usr/sbin/smbldap-useradd -w "%u"
    add group script = /usr/sbin/smbldap-groupadd -p "%g"
    add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
    delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
    set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
    
    logon script = scripts\logon.bat
    
    logon path = \\%N\Profiles\%U
    logon drive = H:
    logon home = \\%N\%U
    
    security = user
    idmap uid = 4000-10000
    idmap gid = 4000-10000
    
    [homes]
     path = /export/homes/%U
     browseable = no
     valid users = %S
     read only = no
     create mask = 0664
     directory mask = 0775
    
    
    
    smbldap_bind.conf mám vyplněnej, smbldap.conf:
    SID="S-1-5-21-2884938510-3913314686-102960621"
    
    slaveLDAP="127.0.0.1"
    
    masterLDAP="127.0.0.1"
    
    ldapTLS="0"
    
    mailDomain="domena.cz"
    
    suffix="dc=domena,dc=cz"
    
    
    

    Odpovědi

    1.9.2007 16:57 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Samba LDAP
    Zadal jste Sambě heslo k LDAPu smbpasswd -w? Případně zkuste zvýšit úroveň logování Samby, aby se v logu něco zajímavého objevilo.
    1.9.2007 17:00 smajl
    Rozbalit Rozbalit vše Re: Samba LDAP
    Zadal.
    1.9.2007 17:06 smajl
    Rozbalit Rozbalit vše Re: Samba LDAP
    [2007/09/01 17:04:06, 2] smbd/reply.c:reply_special(496)
      netbios connect: name1=*SMBSERV name2=WIDLAK
    [2007/09/01 17:04:06, 2] smbd/reply.c:reply_special(503)
      netbios connect: local=192.168.1.4 remote=widlak, name type = 0
    [2007/09/01 17:04:06, 2] smbd/sesssetup.c:setup_new_vc_session(799)
      setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
    [2007/09/01 17:04:06, 2] smbd/sesssetup.c:setup_new_vc_session(799)
      setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
    [2007/09/01 17:04:06, 2] lib/smbldap.c:smbldap_open_connection(788)
      smbldap_open_connection: connection opened
    [2007/09/01 17:04:06, 2] auth/auth.c:check_ntlm_password(319)
      check_ntlm_password:  Authentication for user [smajl] -> [smajl] FAILED with error NT_STATUS_NO_SUCH_USER
    
    1.9.2007 17:06 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Samba LDAP
    Mají uživatelé v LDAPu údaje potřebné pro Sambu (sambaSID, sambaLMPassword, sambaNTPassword, sambaPrimaryGroupSID, objectClass=sambaSamAccount atd.)? Bez těch logů to asi nepůjde, problém může být mezi Windows a Sambou, mezi Sambou a LDAPem i mezi Sambou a Unixem, vyloučil jste zatím jen problém mezi Unixem a LDAPem.
    1.9.2007 20:02 smajl
    Rozbalit Rozbalit vše Re: Samba LDAP
    Ty údaje tam nejsou. Kde seženu co všechno musím mít u uživatelů v sambě?
    1.9.2007 20:20 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Samba LDAP
    Podle schématu je povinné jen sambaSID, ostatní údaje jsou volitelné. Ale bez hesel nebude Samba schopná ověřit heslo uživatele a přihlásí tedy asi uživatele s jakýmkoli heslem (nebo jen s prázdným heslem). S hesly bude ostatně asi největší problém, protože pokud je nemáte někde v plaintextu, budete asi muset uživatelům vygenerovat hesla nová, která si pak změní (Windows a tím pádem Samba používá jiný hash hesla, než se používají v Linuxu).

    Jaké údaje jsou potřeba snad odvodíte z dokumentace l ldapsam.
    1.9.2007 20:21 Milan Beneš | skóre: 17 | blog: Kraft_durch_Freude
    Rozbalit Rozbalit vše Re: Samba LDAP
    Pohodlná cesta je nainstalovat si phpldapadmin (nejnovější) a uživatele vytvořit v něm. Jsou tam sice dvě chybičky, nicméně alespoň vytvoří všechny potřebné atributy a ty dva s chybnou hodnotou jdou opravit ručně.
    1.9.2007 20:35 smajl
    Rozbalit Rozbalit vše Re: Samba LDAP
    Dá se ten SambaSID vygenerovat? A jak vytvořit hesla když je mám v plaintextu?
    1.9.2007 20:43 Milan Beneš | skóre: 17 | blog: Kraft_durch_Freude
    Rozbalit Rozbalit vše Re: Samba LDAP
    SambaSID jde získat pomocí net getlocalsid
    1.9.2007 21:01 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Samba LDAP
    Dá se ten SambaSID vygenerovat?
    Dá. Je to SID domény, ke kterému je za pomlčkou přidané unikátní číslo uživatele. Pokud nepoužívá jiné mapování, vytváří myslím Samba tohle číslo jako dvojnásobek UID uživatele + 1. Ale jinak to může být libovolné unikátní číslo, takže je potřeba dát jenom pozor na to, aby později, pokud budete přidávat uživatele přímo přes Sambu, Samba nevygenerovala stejné číslo.
    A jak vytvořit hesla když je mám v plaintextu?
    Já jsem používal např. skript v Pythonu, kde bylo něco jako
    import smbpasswd
    print smbpasswd.lmhash("heslo")
    
    Ovšem modul smbpasswd není ve standardních pythonovských modulech, a na smbpasswd python vrací Google akorát nejrůznější balíčky, tak buď musíte najít ten pro svou distribuci, nebo z nějakého balíčku vyzkoumat, kde roste originál. Určitě také existuje knihovna pro Javu, která umí ta hesla konvertovat. Nejspíš existují i různé další utility nebo skripty, zkuste hledat třeba „ntlm password“. Nějaké Perlovské skripty jsou snad i v contrib v Sambě…
    1.9.2007 20:36 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Samba LDAP
    Vzhledem k tomu, že uživatelé již existují, vytvořil bych si raději skriptem nějaký ldiff soubor, který bych pak do LDAPu naimportoval a tím položky přidal.
    1.9.2007 22:35 smajl
    Rozbalit Rozbalit vše Re: Samba LDAP
    Ok, něco vymyslím. Snažím se to dělat postupně, můj cíl je rozchodit řadič domény. Pod jakým uživatelem můžu přidat stanice do domény? smb.conf jsem trochu upravil, takže teď vystupuje jako pdc, ale nedovolí mi to se připojit do domény. v logách ale nic špatnýho nevidím a to mám log level 8.
    1.9.2007 23:04 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Samba LDAP
    Ok, něco vymyslím. Snažím se to dělat postupně, můj cíl je rozchodit řadič domény. Pod jakým uživatelem můžu přidat stanice do domény? smb.conf jsem trochu upravil, takže teď vystupuje jako pdc, ale nedovolí mi to se připojit do domény. v logách ale nic špatnýho nevidím a to mám log level 8.
    Přidání stanice do domény byl u mne vždycky největší problém. Myslím, že to musí být uživatel, který je členem skupiny Domain Admins (nad se tak jmenuje, měla by to být jedna z well known skupin). Problém je hlavně v tom, že Samba se pokouší účet pro stanici smazat a pak založit znovu, včetně unixového. Takže buď jí to musíte komplet dovolit a naučit, nebo mít už předem účty vytvořené a Sambě dovolit je změnit. Pak ale musíte myslím účtu nastavit výchozí heslo, které je buď všude stejné, nebo odvozené ze jména počítače (snad to jde najít někde na internetu). Je potřeba tam dávat pozor na velikost písmen, ve jménu účtu pracovní stanice jsou myslím velká, ale pro tvorbu hesla se možná použijí malá… Už si to moc nepamatuju, možná bych to nešel někde ve skriptech, které jsem používal. Pokud bych našel ty skripty… Každopádně ten způsob, že si Samba sama účet počítače založí je myslím dokumentovanější a není třeba tolik vlastního výzkumu. Ale jak už jsem psal, v tom případě musí fungovat i odebrání (asi) a každopádně přidání uživatele do systému (do linuxu). Nějaké ukázkové skripty jsou snad součástí nss_ldap (předpokládám, že používáte to, když máte linuxové uživatele také v LDAPu).
    1.9.2007 23:18 smajl
    Rozbalit Rozbalit vše Re: Samba LDAP
    No já už jsem to kdysi chvíli provozoval, ale bez ldap a musel jsem mít funkční ty add scripty apod. a dělá to hroznej bordel v účtech, vytváří to uživatele podle strojů. Tohle dělá i v ldapu? Já myslel, že tam stačí ručně vytvořit účty a samba to bude jen číst.
    2.9.2007 00:11 smajl
    Rozbalit Rozbalit vše Re: Samba LDAP
    Konkrétně se to myslím snaží vytvořit uživatele s $ na konci. Proč tomu tak je nevím. Dá se tomu zabránit? Nerad bych totiž nechal sambu, aby mi dělala border v ldapu. Jinak smbpasswd -a nefunguje.
    2.9.2007 11:25 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: Samba LDAP
    Konkrétně se to myslím snaží vytvořit uživatele s $ na konci. Proč tomu tak je nevím. Dá se tomu zabránit? Nerad bych totiž nechal sambu, aby mi dělala border v ldapu. Jinak smbpasswd -a nefunguje.

    Neviem ci tomu spravne rozumiete. Bezne uzivatelske domenove ucty vytvarane sambou (resp definovanymi skriptami) _nemaju_ pridavany prefix $ za loginom. Tento "prefix" sa pridava vyhradne pre ucty pracovnych stanic pridavanych do domeny, aby sa od beznych uctov uz na prvy pohlad lisili.

    A za dalsie, bordel v LDAPe vam urcite nevznikne, lebo ucty stanic sa vytvaraju spravidla v podstrome definovanym direktivou ldap machine suffix a teda budu od beznych uzivatelov logicky odclenene.

    2.9.2007 16:30 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Samba LDAP
    V doméně Windows musí mít i každý počítač svůj účet. To jsou právě ty účty s $ na konci. Samba je také musí uložit do LDAPu, ale můžete si stanovit, že budou v jiné části stromu (to je to ldap machine suffix v konfiguráku).
    2.9.2007 11:17 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: Samba LDAP
    Myslím, že to musí být uživatel, který je členem skupiny Domain Admins
    Toto veru nestaci. Pridavat stanice do domeny moze defaultne len user uvedeny direktivou "admin users" v smb.conf. Kazdy dalsi uzivatel, ktorym by ste chceli pridavat stanicu do domeny musi mat delegovane pravomoci (konkretne pravomoc SeMachineAccountPrivilege (..da sa delegovat aj na skupinu (napr. Domain Admins), nielen na usera)).
    Pak ale musíte myslím účtu nastavit výchozí heslo, které je buď všude stejné, nebo odvozené ze jména počítače (snad to jde najít někde na internetu).
    Pokial viem, tak nastavovanie hesiel pre PC ucty sa stara samba sama. Po pripojeni stanice do domeny samba vytvori pre dane PC klasicky uzivatelsky posix ucet skriptom smbldap-useradd -w, a po jeho vytvoreni sama pozadava ostatne atributy ako su sambaSID, atributy na hesla (na hesle sa so stanicou interne dohodne, bez akejkolvek interakcie uzivatela) a pod.
    2.9.2007 15:08 smajl
    Rozbalit Rozbalit vše Re: Samba LDAP
    A co mám v tom konfiguráku špatně, když ten skript existuje ale nedělá to co dělat má?
    2.9.2007 16:45 timeos | skóre: 32
    Rozbalit Rozbalit vše Re: Samba LDAP

    Ja som odpovedal na prispevok pana Jirsaka, ktory pisal o pridavani stanic do domeny. Vy sa ale snazite o pristup na samba server pod uctom, ktory samba nepozna... lebo (ako vyplynulo z debaty) nema pridane atributy (ako uz spominany sambaSamAccount objectclass a kopec dalsich) a teda taky uzivatel pre nu vskutku neexistuje. Ziadne bezne (posix) uzivatelske ucty samba do domeny _nepridava_ automaticky. O toto sa musi postarat administrator (a tiez by to mohlo byt neziaduce).

    Takze rada zavisi podla toho, kolko mate existujucich uzivatelov v LDAPe. Ak ich je len zopar, tak prikazmi "smbldap-usermod -a loginname" popridavate kazdemu z LDAP userov samba atributy a prikazom "smbldap-passwd loginname" povytvarate hesla. A az po tychto ukonoch mozte uspesne pristupovat k zdielanym prostriedkom samby.

    A este dodatok: tie skripty napr na pridanie usera alebo skupiny sa pouzivaju iba vtedy, ak ich "explicitne" zavolate, napriklad vytvaranim uzivatela/skupiny cez usrmgr.exe.

    2.9.2007 18:31 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: Samba LDAP
    Kdyz jsi nastavil ten LDAP + tu sambu, tak se do LDAPu dostanes ?? Pres LAM, phpldapadmin treba ??? Jesli ano, tak dale by problem mohl byt v tom, ZDA mas VUBEC adresarovou strukturu v LDAPu od samby, mas spravne nastaveno smbldap-tools ??? Co udela:

    smbldap-populate ???
    Never give up ! Stay ATARI !
    2.9.2007 22:33 smajl
    Rozbalit Rozbalit vše Re: Samba LDAP
    smbldap-populate raději nebudu spouštět, jinak mám u účtu atrubut sambasamaccount a samba password, prostě jsem to naklikal přes phpldapadmin. Napadá mě, jestli nemůže být problém v tom, že ty atributy pro sambu mám jen u uživatele a ne u celého ou.???
    3.9.2007 00:47 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: Samba LDAP
    Sorry, ale smbldap-populate je ZAKLAD !

    Pokud konfigurujes zrovna takovou vec jako je LDAP, mas pouzivat nastroje k tomu urcene, v phpldapadmin se da nasekat spousty chyb ... Jako napriklad nesynchronizace unix a samba hesla ..

    pokud by smaba populate proslo, + pridani uzivatele pres smbldap-adduser pak by ses prihlasil do domeny. A nepatlal se na tomto miste.
    Never give up ! Stay ATARI !
    3.9.2007 08:04 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Samba LDAP
    Sorry, ale smbldap-populate je ZAKLAD !
    To doplní jenom SID domény a well known účty a skupiny. A jediné opravdu potřebné z toho je SID domény. Možná je to základ, ale potřeba to není ;-)
    3.9.2007 09:14 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: Samba LDAP
    JA vim, ale kdyz je to zacatecnik, tak by se pak takto neplacal .....
    Never give up ! Stay ATARI !
    3.9.2007 13:55 smajl
    Rozbalit Rozbalit vše Re: Samba LDAP
    Jo to souhlasim, v sambě jsem začátečník, ale jinak ne. Nemám totiž rád windows a ty jejich pitomý domény, ale jsem nucen do dokonfigurovat.
    3.9.2007 14:47 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Samba LDAP
    Vytvořit ty úvodní optřebné položky není nic těžkého, je to import jednoho ldiff souboru vytvořeného podle vzoru v Samab Howto. Naopak bych se bál pouštět nějaké automatické skripty na LDAP s ostrými a používanými daty.
    3.9.2007 16:40 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: Samba LDAP
    To ja vsechno chapu, ale kdyz jsem se to ucil ja, tak jsem se nekolik tydnu trapil jak idiot, jen proto, ze jsem nepouzil smbldap (ktery je k tomu urceny + je doporucovany i v samotne dokumentaci samby) a jak rikam, muj problem spocival nejdrive ve spatnem nastaveni PAMu (coz je asi nejtezsi cast) a pak hlavne v tom, ze jsem (jako zacatecnik) neumel nastavit/vycist v phpldapadminu aby pri zadani uzivatele do domeny se synchronizovalo unix a samba heslo, coz je v smbldap tools jasne vysvetleno.... :-)

    Proto rikam, ze je to zaklad ...Nemluve o tom, ze ti SPRAVNE vytvori Windows domain strukturu, proc to tedy placat rucne....

    A to vubec nemluvim o tom, ze LAM (LDAP admin manager) je o mnoho lepsi a bezpecnejsi (pro zacinajiciho uzivatele) nastroj pro konfiguraci domeny, nez phpldapadmin ...
    Never give up ! Stay ATARI !
    3.9.2007 16:46 Filip Jirsák | skóre: 68 | blog: Fa & Bi
    Rozbalit Rozbalit vše Re: Samba LDAP
    Ale já nemluvím ani o smbldap, ani o phpldapadmin. Já preferuji vim, ldapsearch, ldapimport a nějaké ty skripty :-)

    Třeba ta synchronizace hesel se nastavuje v konfiguráku samby, na to netřeba žádné utility. A ta Windows domaini struktura je jeden LDIF import, který okopírujete ze Samab Howto, akorát v něm nahradíte domain SID a doménu, což je vyhledej-nahraď.
    3.9.2007 16:53 svaca | skóre: 38
    Rozbalit Rozbalit vše Re: Samba LDAP
    Ja mluvim o tom, ze kdyz to delam pro zakaznika, tak s: vim, ldapsearch, ldapimport me posle nekam ....
    Never give up ! Stay ATARI !

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.